O roubo de dados de cartões de crédito é um dos crimes preferidos dos hackers. Não para realizar compras em nome de outros, mas para vendê-los em um imenso mercado ilegal que funciona nas profundezas da internet. Sites hospedados em darknets — redes na web profunda que protegem o anonimato — oferecem essas informações por preços que variam entre R$ 15 e R$ 30, dependendo do volume encomendado, mas também é possível encontrar ofertas de cartões físicos por valores entre R$ 100 e R$ 300.
— É o “produto” mais ofertado nas redes anônimas — diz Marco de Mello, diretor-executivo da empresa de segurança digital PSafe. — Eles conseguem essas informações em grande volume para oferecer sempre dados válidos.
A maior parte dos cartões fraudados é de americanos, mas os cibercriminosos fazem vítimas em outros países, inclusive no Brasil. O relatório “Underground hacker markets”, elaborado no fim de 2014 pela divisão de segurança da Dell, vasculhou um desses mercados e listou 294 mil cartões de crédito brasileiros.
“Cartões de crédito roubados de EUA, Canadá, Reino Unido, Brasil, Argentina e Geórgia parecem ser especialmente abundantes”, afirma o estudo. “Esse site anunciava que tinha 14 milhões de cartões americanos para venda, 294 mil brasileiros, 342.179 de diversos países, 212.100 do Canadá, 75.992 do Reino Unido e 26.873 da União Europeia.”
E as informações são sempre renovadas para garantir o funcionamento. Uma das lojas observadas na internet profunda, por exemplo, oferece lotes com dados de cem cartões e se compromete a fazer troca caso o percentual de cartões inválidos supere 20%. No anúncio, os criminosos dizem receber “novas listas todos os dias”.
Fabio Assolini, analista de segurança da empresa de antivírus Kaspersky, explica que, no Brasil, o roubo de informações se dá principalmente por ataques de phishing. Os criminosos criam sites falsos ou mandam mensagens por e-mail ou SMS pedindo esses dados para participação em sorteios ou compra de produtos com preços abaixo do normal. E muita gente cai nesses golpes.
— A recomendação é sempre desconfiar — diz Assolini. — Evite lojas desconhecidas, confira a lista do Procon de sites fraudulentos antes de fornecer as informações. Outra dica é ter um cartão secundário, com limite pequeno, para transações na internet. Também é interessante assinar um serviço que emite um alerta por SMS a cada compra efetuada.
Nos EUA, os ataques em pontos de venda (PoS, Point of Sale, em inglês) se tornaram frequentes nos últimos anos. Os criminosos inserem malwares nos computadores que registram as compras e conseguem milhares, ou mesmo milhões, de dados em apenas um ataque. Há dois anos, a Target, segunda maior rede varejista do país, foi vítima de uma das maiores ações desse tipo em todos os tempos, com o vazamento de informações de crédito de 40 milhões de consumidores.
As darknets garantem aos criminosos um certo grau de anonimato, e como as transações são realizadas por bitcoins (moedas virtuais), não existe registro financeiro das operações. Capturar esses hackers é uma missão difícil, mas não impossível. Preso em outubro de 2013 pelo FBI, e julgado no mês passado, Ross Ulbricht foi condenado à prisão perpétua por operar o Silk Road, que era o maior mercado de drogas da web profunda. Contudo, diz Mello, o site é a ponta de um iceberg:
— Pegaram o Silk Road para servir de exemplo, mas ele é apenas um entre milhares. É bom que façam progressos, mas é preciso mais. Você já viu hacker sendo preso no Brasil?
Impunidade incentiva fraude
Diante disso, especialistas em segurança digital no Brasil pedem maior participação de órgãos do governo e integração com as companhias nas investigações, além de regras mais firmes.
— De modo geral, o cibercriminoso já se acostumou a agir com um certo grau de impunidade — diz Paulo Pagliusi, diretor-executivo da consultoria MPSafe CyberSecurity. — As empresas preferem assumir as perdas causadas pelos hackers para manter a confiabilidade da marca. O cliente é roubado, o banco ressarce, cobra da seguradora, mas para por aí. Esse ciclo estimula o crime cibernético. Nos EUA, por exemplo, a empresa é obrigada a alertar as autoridades, e o FBI é acionado para as investigações.
Por aqui, os crimes eletrônicos podem ser registrados em qualquer delegacia da Polícia Civil. Dependendo da cidade, há unidades especializadas nesse tipo de delito, como é o caso de São Paulo e Rio de Janeiro. Em municípios que não contam com essas delegacias, existem núcleos de informática que auxiliam as unidades comuns nas investigações.
A Polícia Federal (PF) também tem divisões de Repressão de Crimes Cibernéticos. No entanto, questionada sobre como age para coibir a ação desses criminosos e quantas prisões do tipo realizou nos últimos anos, a PF não respondeu ao GLOBO até o fechamento desta edição.
Na outra ponta, o comércio eletrônico tenta se proteger contra fraudes. Segundo Maurício Salvador, presidente da Associação Brasileira de Comércio Eletrônico, em média 0,2% dos pedidos é efetuado com dados fraudados no e-commerce brasileiro. Mas, em algumas categorias, como smartphones e eletrônicos, o índice chega a 20%.
Quando um pedido de compra fraudulento é aprovado, o prejuízo fica com o lojista. Por isso, para reduzir as perdas, o setor está investindo em sistemas inteligentes para detecção de fraudes. Pela análise de comportamento, compras suspeitas são sinalizadas e direcionadas à confirmação de mais dados dos consumidores.
— Normalmente, as compras on-line levam um tempo. O consumidor busca as informações do produto, compara preços. Se aparece alguém e faz compras rapidamente, o sistema emite um alerta. O pedido só é finalizado após contato telefônico para confirmação dos dados cadastrais — explica Salvador.
A companhia americana Eye4Fraud é uma das que oferecem serviço de detecção de fraudes. Segundo Leo Dresdner, vice-presidente de operações da empresa, seu sistema busca dados em fóruns nas darknets para criar uma lista negra de cartões fraudados:
— O ataque contra a Target inundou o mercado com dados fraudados. Em média, nós aprovamos 99% das transações. Na época, o percentual de compras suspeitas chegou a 2,5%.
E para o consumidor, a dica é ficar atento a qualquer movimentação desconhecida no extrato do cartão.
— Os hackers fazem pequenas transações, de poucos reais, para assegurar que o cartão está funcionando. Um tempo depois é que vem a bomba — comenta Marco de Mello.
O Globo
Nenhum comentário:
Postar um comentário